keskiviikko 7. elokuuta 2013

Windows luureissa kummallinen vuoto

Microsoftin Windows Phone –käyttöjärjestelmää käyttävät puhelimet ovat langattoman verkon tunnistetietojen heikon salauksen johdosta vaarallisia yrityskäyttäjille. Käyttöjärjestelmä vuotaa domain-tunnukset.

Puhelimet ottavat automaattisesti yhteyttä tunnettuihin WLAN-verkkoihin, myöskin yritysverkkoihin joissa käytetään tunnistustekniikkaa PEAP-MS-CHAPv2. Kyseistä tunnistustekniikkaa tai protokollaa harvemmin kuitenkaan käytetään yleensä juuri missään. Mutta se ei kuitenkaan ole mikään selitys.

Windows Phone tallentaa tunnistetiedot jotta sen on helppo ja nopeaa ottaa WLAN-yhteys, nyt on kuitenkin selvinnyt että mikäli jokin taho haluaa saada esimerkiksi yritysverkon tunnukset, ei heidän tarvitse kuin merkata oma WLAN-verkko samannimiseksi, tällöin Windows Phone yrittää ottaa tähän verkkoon automaattisesti yhteyttä ja lähettää tunnistetiedot samalla.

Tunnistetiedot ovat toki salattuja mutta salaus on hyvin heikko ja nopeasti muutettavissa selväkieliseksi, tämän jälkeen kun huijausverkko on saanut tunnukset, voi murtautuja päästä yritysverkkoon sisään.

Vuoto-aukko koskee Windows Phone 7.8 ja Windows Phone 8.0 käyttöjärjestelmiä, Microsoft ei ole tarjoamassa siihen korjausta joka esimerkiksi vahvistaisi tunnistetietojen salausta vaan ehdottaa käyttäjille muuttamaan luurin asetuksia niin että se ei ota automaattisesti yhteyttä tunnettuihin verkkoihin.

LÄHDE: Microsoft